Руткит-технологии: непобедимое зло или очередной этап эволюции вредоносного кода

Кирилл Кирцебаум


Source of information: "http://www.connect.ru/article.asp?id=8838"


Что же такое Руткит?

Изначально Rootkit (руткит, от англ. root kit – «набор root-а») – технология, используемая при создании вредоносного кода для сокрытия следов своего присутствия или другой вредоносной программы в операционной системе. Термин Rootkit появился на свет из мира UNIX-технологий, тогда под данным термином понималась группа утилит или специальный модуль ядра операционной системы, которые хакер пытался устанавливать на взломанную им компьютерную систему сразу после получения прав суперпользователя. Этот набор, как правило, включал в себя разнообразные утилиты для «заметания следов» вторжения в систему, сканеры, кейлоггеры, троянские программы, замещающие основные утилиты. Rootkit позволял взломщику закрепиться в атакованной системе и скрыть следы своей деятельности путем сокрытия файлов, процессов. Если переформулировать историческое определение Rootkit, то в современном восприятии это набор программных инструментов, предназначенный для сокрытия от операционной системы действующих процессов, файлов или системных данных. Руткиты берут свое начало от доброкачественных приложений, но в последние годы стали все чаще использоваться злоумышленниками как средство несанкционированного доступа в системы и предотвращения обнаружения. На данный момент созданы разновидности руткит-технологий для различных операционных систем, таких как Microsoft Windows, Mac OS X, Linux и Solaris.

Какие руткиты бывают?

Современные руткиты можно классифицировать по двум основным категориям: - руткиты режимов приложения/пользователя – создают угрозы режима пользователя, которые реализованы различными методами с целью сокрытия от продуктов защиты на уровне приложений; могут перехватывать системные вызовы и фильтровать выходные интерфейсы прикладных программ (API), чтобы спрятать разные элементы собственных программ, такие как процессы, файлы, системные драйверы и ключи системного реестра; - руткиты режима ядра – создают угрозы, которые устанавливают на систему компоненты уровня ядра операционной системы (например, драйверы), затрудняющие их обнаружение при помощи продуктов режима пользователя или уровня ядра. Сообщество Open Source разработчиков предлагает сегодня готовые к применению приложения-руткиты, широко доступные через Интернет. Теперь даже новичок может воспользоваться руткитом, не имея понятия о том, как он работает. Авторы данных вредоносных программ, которых трудно назвать программистами в силу преступности их деятельности, лучше подготовлены, осторожны и пользуются огромной финансовой поддержкой высокоприбыльной индустрии вредоносного ПО. Они хотят скрыть свои действия и присутствие во многих системах, к которым получили доступ, а руткиты – идеальное средство сокрытия преступлений и кражи персональной информации, так как они гарантируют злоумышленникам незаметный и несанкционированный доступ к конфиденциальным сведениям. Руткиты запускают и маскируют в системе другие вредоносные приложения; более того, оставляют киберпреступникам лазейку, которая позволяет им продолжать причинять ущерб машине жертвы. Большая часть вредоносных и рекламных программ, использующих руткиты, применяет для своей незаметной деятельности эти технологии маскировки.